Suchen

ISO 27001 Qualitätsmanagement in der Informationssicherheit

| Redakteur: Bernd Otterbach

Die Automobilindustrie ist als Trendsetter bekannt, dazu zählt auch die Umsetzung und Einhaltung von Standards. So war die Automotive Branche Innovator für das Qualitätsmanagement. Dies hat sich zuerst in eigenen Standards und später in der ISO 9001 niedergeschlagen. Zusätzlich zu den Automobilherstellern (OEM) selbst hat sich das Qualitätsmanagement auf jeden Zulieferer ausgedehnt, was aufgrund der weiter abnehmenden Fertigungstiefe der OEM nicht verwunderlich ist.

Firmen zum Thema

Nach dem Qualitätsmanagement der Fertigungsprozesse spielt zunehmend die Qualität des Umgangs mit Informationen eine große Rolle. Und hierbei kommt der Standard ISO 27001 ins Spiel, mit dem das Informationssicherheitsmanagement abgedeckt wird. Da OEMs inzwischen einen großen Teil der Produktentwicklung mit ihren Lieferanten durchführen, ist der Schutz der dabei entstehenden Informationen extrem wichtig. Bevor irgendein Produkt in der Realität entsteht, existiert es bereits geraume Zeit in digitaler Form oder auf Papier.

Informationen, die beispielsweise zur Entwicklung eines neuen Fahrzeuges beitragen, müssen sowohl vom OEM selbst, als auch von allen beteiligten Lieferanten adäquat geschützt werden. Wie kann dies in einer wirtschaftlichen Art und Weise erreicht werden? Und anhand welcher Vorgehensweise ist sichergestellt, dass kein Aspekt vergessen wurde?

Standard ISO 27001

Einen Lösungsansatz dazu stellt der ISO 27001 Standard dar, der analog zur ISO 9001 eine Vorgehensweise beinhaltet, ein Managementsystem aufzubauen, um Informationen zu schützen. Statt eines Qualitätsmanagementsystems beschreibt der Standard ein Informationssicherheitsmanagementsystem (ISMS), schlußendlich ein Managementsystem, das die Qualität des Umgangs mit Informationen abdeckt.

Treiber des Informationssicherheitsmanagementsystems sind zum einen natürlich der Schutz von kritischen Informationen hinsichtlich der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und zum anderen zunehmend Anforderungen an die Compliance, also die Einhaltung von gesetzlichen und vertraglichen Regelungen und branchenspezifischen Bestimmungen.

Unternehmensziel Sicherheit

Im Zentrum eines solchen Informationssicherheitsmanagementsystems stehen die Sicherheitsleitlinie und die Sicherheitsorganisation. Das Management des Unternehmens muss die Informationssicherheit als wichtiges Unternehmensziel festschreiben und damit auch Ressourcen und Budget für deren Umsetzung freigeben. Das Ziel eines Managementsystems ist, dass es auch „gelebt“ wird.

Es ist kein Projekt, das einmal durchgeführt wird, sondern Informationssicherheit ist ein Prozess, wie jeder andere Prozess im Unternehmen. Dabei benutzt das ISMS ebenso, wie das Qualitätsmanagement, den Plan-Do-Check-Act Kreislauf (Deming Cycle), in dem das ISMS zuerst geplant (Plan), betrieben (Do), überprüft (Check) und relevante Änderungen (Act) wieder eingebracht werden.

Risikoorientierter Ansatz

Um die Wirtschaftlichkeit zu gewährleisten, basiert die ISO 27001 und damit das ISMS auf einem risikoorientierten Ansatz. Dabei werden die vorhandenen Informationen anhand ihrer Kritikalität klassifiziert und das Risiko einer Verletzung der Vertraulichkeit, Integrität oder Verfügbarkeit anhand von Bedrohungsszenarien evaluiert. Die Kosten von Maßnahmen, die das Risiko reduzieren, werden dabei der Risikoreduktion gegenüber gestellt. Nur wenn eine Maßnahme danach wirtschaftlich sinnvoll ist, so sollte sie auch umgesetzt werden.

Als Maßnahmen in diesem Kontext sind nicht nur technische, sondern vor allem auch organisatorische Maßnahmen zu verstehen. Wenn bereits die ISO 9001 im Unternehmen umgesetzt wurde, so kann für das ISMS auf große Teile davon zurückgegriffen werden. Dies betrifft zum einen die Beschreibung und Verwendung der Prozesse, die eine Grundlage bilden, um die Informationen zu klassifizieren, und zum anderen das Managementsystem selbst, in das sich das ISMS ebenfalls integrieren läßt.

Vorteile und Synergien

Das einzelne Unternehmen dokumentiert seinen Beitrag zum Schutz von kritischen Informationen und verschafft sich eine gute Ausgangslage, um zukünftige Complianceanforderungen (z.B. EuroSOX) erfüllen zu können. Zusätzlich ist abzusehen, dass die OEMs, ähnlich wie mit der ISO 9001, diesen Nachweis von ihren Zulieferern verlangen werden, denn sie wollen ihre Entwicklungsdaten angemessen geschützt wissen. Weiterhin gewinnt das Unternehmen, das ein ISMS einführt und auch „lebt“ Unterstützung im täglichen IT-Betrieb.

Betrachtet man ITIL als den am weitest verbreiteteten Ansatz zum IT Service Management, so lassen sich eine Reihe von Berührungspunkten feststellen. Im Rahmen von ITIL V.3 werden die einzelnen ITIL Prozesse in einem Lebenszyklusansatz abgebildet. Für die Services, die die IT erbringt, muss es eine Strategie (Service Strategy) geben, sie müssen entworfen werden (Service Design), es muss klar sein, wie Services in den Betrieb gebracht (Service Transition) werden, wie sie effizient und effektiv betrieben werden (Service Operation) und wie sie immer wieder verbessert werden können (Continual Service Improvement).

In jeder Phase des Zyklus spielen auch Sicherheitsanforderungen an die Daten und Informationen eine große Rolle. Starke Berührungspunkte gibt es dabei unter anderem bei folgenden Punkten:

· Incident und Problem Management

· IT Service Continuity Management

· Service Level Management

· Change Management inklusive Patch Management

· Configuration Management

· Capacity Management

Dies sind jeweils Themengebiete, die im IT-Betrieb angesiedelt sind, aber auch im Rahmen von Vorgaben über das ISMS und den PDCA-Kreislauf abgedeckt werden. Sind diese Prozesse im IT-Betrieb bereits beschrieben, so ist ein Grundstein für die Umsetzung des ISMS gelegt.

Von abstrakten Anforderungen zu konkreten Maßnahmen

Zusätzlich zu diesen „betriebsnahen“ Bereichen hat das ISMS natürlich auch Berührungspunkte zu anderen Themenfeldern im Unternehmen. Dies sind beispielsweise das Business Continuity Management, das Unternehmensrisikomanagement oder die Rechtsabteilung. Es bildet die Grundlage für die Einhaltung von Complianceanforderungen, indem es „abstrakte“ Anforderungen über das ISMS in konkrete Maßnahmen umsetzt.

Die Informationssicherheit bildet also wie das Qualitätsmanagement eine Querschnittsfunktion über die Bereiche und entlang des Geschäftsprozesses und sorgt somit für eine Sicherung der im Prozess verwendeten Daten und Informationen.

Fazit

Die Einführung eines ISMS gemäß ISO 27001 hilft dem Unternehmen, auf künftige Anforderungen, seien sie nun rechtlicher Art oder Vorgaben des OEM flexibel zu reagieren. Zusätzlich bringt es Verbesserungen im täglichen IT-Betrieb, indem es wichtige Prozesse beschreibt und standardisiert. Dies hilft, die Qualität der Prozesse zu halten und stetig zu verbessern und bietet zusätzlich Kosteneinsparungen, da die Prozesse wiederholbar und effizient gestaltet sind.

Als Unternehmensberatung in allen Fragen der Informationssicherheit setzt die Secaron AG die höchste Priorität darauf, mit ihren Kunden ein adäquates, wirtschaftlich sinnvolles Sicherheits-Niveau festzulegen. Secaron hilft sowohl bei der Umsetzung organisatorischer, als auch technischer Maßnahmen, um die Geschäftsprozesse der Kunden sicher ablaufen zu lassen.

Udo Adlmanninger, Senior Consultant und Partner der Secaron AG

(ID:239430)